网络安全风险量化的 6 个真相

风险量化和风险沟通是两个不同的学科，但它们经常被混淆。对风险量化的大多数批评实际上是对风险沟通技术的批评，这些技术被伪装或误解为风险量化。选择你的工具并以正确的方式使用它。有多种量化机制，从基本计数指标，贝叶斯网络模型， 博弈论分析，针对特定场景，对潜在事件的频率分布以及这些事件发生时的严重性分布进行建模的技术。然后将其用于计算损失分布，以做出更正式的风险承受能力决策。FAIR是后一种技术的一个很好的例子，但它还具有一个额外的优势，即良好的本体论和支持实践，以帮助分析的严谨性 - 以及越来越多的产品和服务，使这一过程变得易于处理。

所有这些技术都有一个共同点，那就是它们必须被解释和交流，即使是对于经验丰富的用户。将这种量化的结果叠加在网格上并转化为评级（高、中、低）是可以的，只要这样做的媒介不会丢失信息。

我认为像风险 = 威胁 x 漏洞这样简单的伪量化技术大多是有缺陷的，原因很简单，因为这样一个简单方程的输入永远无法准确地概括特定情况下发生的情况，并且它呈现出过于简单化的风险视图。例如，风险 (0.3) = 威胁 (0.5) * 漏洞 (0.6)。这究竟意味着什么？（我在行业报告中看到过这个实际例子）。另一个需要注意的问题是，在没有使用适当的损失分配模型的情况下，将潜在的金钱损失天真地分配给开发的指标。

但总体而言，最好的风险建模和量化方法是那些甚至令风险管理者的直觉都感到惊讶的方法。我记得在一个组织中，使用贝叶斯网络对有助于实现特定风险管理目标的控制“网络”进行建模 - 在本例中是某种类型的内部风险缓解。大约有 10 个相互关联的控制，每个控制都有自己的特征故障分布（依次根据实际事件历史建模），当将它们组合到网络模型中并进行蒙特卡罗模拟时，揭示了对少数数字的意外依赖性控件 - 特别是在一个特定控件上。我不知道为什么我们对这里出现的帕累托分布感到惊讶，显示 80% 的风险缓解来自 20% 的控制。但我们是。更令人担忧的是，直觉认为这不是最重要的控制，因此投资不足。我们通过建模纠正了这个问题。没有大张旗鼓的宣传，没有大型的董事会演示，只有优秀风险团队的日常工作。也许这种情况发生在比我们想象的更多的地方。

根据我的经验，这是风险管理中最重要的公式。无论我们多么冷静地量化我们所面临的危险，它仍然会被愤怒所淹没。来自客户、政府、监管机构、媒体、审计师以及自己的董事会和管理层的愤怒反过来又受到外部愤怒的影响。您可能会想，这不就是应该包含在危险中的声誉风险吗？有时是，很多时候不是。

这一切都来自彼得·桑德曼（Peter Sandman）的出色工作，虽然更多的是关于危机沟通和预防宣传，但它确实在如何沟通风险以推动正确的结果方面提供了无数的经验教训。

照片由澳大利亚新南威尔士州矿产委员会提供 （Peter Sandman）

点击如下链接访问：

https://psandman.com/col/Barriers.htm

风险是由经验丰富的人通过数据判断来管理的，而不是仅仅通过数据来管理。世界上充斥着许多学科的失败，其中的数字（模型或其他技术）表明，总的来说，实际上是错误的行动方针。从安全和危害分析、药理学到金融风险等领域，风险量化的许多成熟应用都有一个共同的主题，即它们很少依赖于一个模型的一个数字或输出。他们最常做的是建立由多个数据流提供信息的决策流程。风险管理者花费大量时间寻找数据中的矛盾，这些矛盾表明存在一些需要进一步调查的潜在问题。风险管理者还花费大量时间在数据中寻找共同主题，以提高潜在行动方案子集的置信度。考虑一个非常简单的例子，假设您有一个旨在预测供应链中安全事件的模型，并断言未来 12 个月内 20 个最关键供应商出现安全漏洞的可能性为 0.2，但相邻模型预测同一组中可靠性/错误事件的可能性为 0.8。这两者都可能是正确的（或足够合理），但它肯定需要更深入地研究基础数据，以了解为什么这是不同的，当使用您的判断，您知道两种结果的基础控制可以相关时。

因此，在使用风险量化时，请考虑它在决策过程中的使用和挑战。在许多风险学科中都有一些鲜明的例子，我记得在2008年金融危机期间（在金融风险方面），面对风险模型所说的一切都很好与实际损失之间的矛盾，表现良好的组织走向了安全。否则说明。简单来说，失败的组织假设现实最终会符合该模型。剩下的就是历史了。

风险量化必须存在于反馈循环（正面和负面）中。风险量化方法需要不断完善，这样您要么对该方法增强信心，要么放弃它。有成熟的知识和实践体系可以跨一系列风险学科来做到这一点，可以利用这些知识和实践，包括：意义构建、可比性、管理模型复杂性、验证和回溯测试模型，直到断言和管理 ALW（假设） ，局限性和弱点）的模型。但所有这一切的关键是确保有一个或多个反馈循环来分析模型在现实面前的准确性以及风险量化方法在什么条件下会失效。这将指导该方法应在何处以及以何种方式使用。当然，这些具有模型准确性的反馈回路也只有在根据模型指示的内容依次放置在部署控制调整的反馈回路的背景下才有效和有用。

所有风险量化都是错误的，但有些模型是有用的（释义）。在进行风险量化时，我看到的另一个错误是人们试图太快地变得过于复杂。事实上，一些基本指标（例如关键控制指标）可以非常有效地简单地衡量您的期望，但前提是您围绕它构建流程以保持环境符合该指标。在许多组织中，只需提出 20 个左右的象征或代表环境风险的顶级指标就足够了。例如：如果您可以选择 20 个包含大量 CIS 关键控制的指标，并疯狂地努力保持您的环境适合这些指标，那么您可能会比将时间花在更复杂的方法上获得更多的好处。

维基百科释义：

避免使用可爱但难以理解的基于索引的指标，这些指标汇总计数但不揭示最佳行动方案。想一想，您看到了多少“网络安全索引”，最初您可能认为有用，然后您（或您施加它的人）提出简单的问题，例如“我可以做的一件事是最有效地移动该索引以最少的努力？”，“可接受的值是多少？”，甚至“如果我低于这个值，我就不会被破坏，对吗？……对吗？”

相反，例如，考虑以不同的方式将计数汇总在一起，例如：不是使用某种控制贡献指数来减轻外部威胁作用于某些敏感资产的风险，而是简单地提出一个控制压力指标来记录有多少阻止攻击需要多层控制。如果攻击主要通过前几层，那么就表明需要采取一些行动。

当您确实需要更高级的方法时，因为使用基本计数会过于复杂并且缺乏前瞻性，那么请小心如何使用它们。像 FAIR 这样的方法很好，但它们最好以宏观方式使用，以影响资源分配或优先级的广泛决策，而不是用于您可能做出的每个微观决策。

如果您觉得文章对您有所帮助，还请您关注我！